martes, octubre 31, 2006

Proteger una red Wireless (I de III)


***************************************************************************************************
Artículo publicado en PCWorld
- Proteger una red Wireless (I de III)
- Proteger una red Wireless (II de III)
- Proteger una red Wireless (III de III)
***************************************************************************************************

Atacar redes Wireless se ha convertido desde hace tiempo en un deporte, una diversión o un hobby. En casi todos los medios de comunicación se han escrito artículos sobre como hackear redes Inalámbricas (yo mismo escribí un artículo sobre esto mismo hace casi 2 años) e incluso en los Microsoft Security Days del año 2005 y la gira de Seguridad Technet fuimos haciendo demostraciones de cómo se puede realizar de forma sencilla un ataque a una red Wireless.

Sin embargo, sigue siendo común que los ataques a redes Wireless tengan éxito. ¿Por qué sucede esto? Justificaciones como ¿Quién me va a atacar a mi? O Si yo no tengo nada importante, me da igual que usen mi red suelen ser reflejo de una falta de conocimiento del riesgo o un problema de conocimiento técnico de cómo se puede securizar una red inalámbrica. Vamos a hacer un rápido repaso a las tecnologías de seguridad en las redes Wireless y viendo los riesgos que tienen cada una de ellas para poder elegir una buena opción a la hora de proteger nuestra red.

La tecnología Wireless

Cualquier conexión que se realice sin cables se considera inalámbrica, pero nosotros nos vamos a centrar en las redes WLan, o redes de área local Wireless. Las redes inalámbricas pueden ser de dos tipos, Ad-hoc, que sería una red entre dos equipos iguales (red de pares) o de Infraestructura, que simularía una conexión de red basada en un Hub o concentrador de conexiones. Esto es importante porque mediatiza los tipos de ataques que se pueden realizar.

Los estándares que gobiernan estas tecnologías son los 802.11 y los primeros que llegaron al público fueron los 802.11b y 802.11g, estándares que permitían velocidades de transmisión desde 11 Mb/s hasta 108 Mb/s. Desde el año 2004 se trabaja en el estándar 802.11n que permitirá implementaciones de hasta 500 Mb/s y que se espera que esté publicado a finales de este año o principios del 2007. Sorprendentemente, al igual que sucedió con la espera del 802.11i (que hablaremos de él un poco más adelante) ya se ha adelantado el mercado y están disponibles a la venta dispositivos 802.11n que se han diseñado siguiendo la información en el borrador [1] del estándar que se aprobó. Para completar algunas de las “letras” que podemos encontrarnos en los estándares, existe la versión 802.11e, pensada para transmisión de video y audio en tiempo real mediante la utilización de protocolos de calidad de servicio.

Vale, hasta aquí información sobre “letras” que nos marcan algunas características de las conexiones, pero no de la seguridad. Sigamos adelante.

Definición de una WLan

Lo primero que debemos definir es el nombre de nuestra red WLan, y para ello unas breves definiciones para aclararnos:

- BSS (Basic Service Set). Se refiere a un conjunto de máquinas que pertenecen a una misma red inalámbrica y que comparten un mismo Punto de Acceo a la red Wireless (AP)
- BSSID (Basic Service Set Identifier): Es el identificador que se usa para referirse a un BSS. Tiene la estructura de dirección MAC y generalmente todos los fabricantes utilizan la dirección MAC del AP. Esto es importante, porque los atacantes descubren este valor para poder identificar los clientes de la red. Para ello, los atacantes buscan en las comunicaciones de red que máquinas se están conectando con ese AP.
- ESS (Extended Service Set). Es un conjunto de BSS que forman una red, generalmente será una Wlan completa.
- SSID (Service Set Identifier): Es el nombre de la Wlan, entendible para el usuario, el que nosotros configuramos: mi_wlan, escrufi o wlan1.
- ESSID (Extender Set Service Identifier): Es el identificador del ESS, es transparente al usuario y lleva la información del SSID.

Al final, cuando configuramos una Wlan, lo que debemos hacer es seleccionar un nombre para nuestro SSID y un canal de radio para la frecuencia de comunicación.

Ocultación SSID

El SSID es necesario para establecer una comunicación, es decir, cuando un cliente se quiere conectar con el AP necesita conocer el SSID de la red. El estándar para wlans permite dos formas de trabajar con el SSID:

- Descubrimiento Pasivo: El cliente recibe una trama baliza (Beacon frame) con la información del SSID. El AP difunde constantemente unas tramas de información con el ESSID donde va la información del SSID de la red.
- Descubrimiento Activo: El cliente tiene que conocer el SSID porque el AP no ofrece beacom Frames.

Esta no es una medida de seguridad ya que descubrir el SSID de una wlan es trivial para un atacante que solo tiene que esperar a que un equipo cliente envíe información para conectarse y ver el SSID.

Pero incluso el hacker no necesita ser paciente y esperar a que un equipo se conecte y puede realizar lo que se llama el ataque 0, es decir, enviar una trama de gestión al cliente, simulando ser el AP (spoofeando la mac de origen) que le pide que se desconecte. El cliente, muy cumplidor con el estándar, se desconecta e intenta conectarse con el siguiente AP del ESS. Si sólo hay un AP, entonces se conectará con el mismo. Durante este proceso el hacker descubrirá el SSID de la wlan.

Conclusión: Activar o no el ESSID Broadcast es una opción de comodidad y/o contaminación del espectro de radio. No es una medida de seguridad.

Imagen: Configuración SSID, Canal y ESSID de una Wlan en el AP.

Protección MAC

Para evitar que se conecten clientes no deseados muchos AP ofrecen opciones para crear listas blancas de equipos que se pueden conectar en función de la dirección MAC de los clientes. Para ello en el AP se añaden las direcciones de las máquinas que queremos permitir y listo.

Esto no es una medida de seguridad robusta pues es bastante fácil de saltar para un atacante. Utilizando cualquier herramienta de análisis de redes wlan com Netstumbler nos descubren los SSID, el canal y frecuencia que está siendo utilizado y la MAC del AP.

Imagen: Netstumbler descubriendo SSIDs, canales, MACs AP, Cifrado, etc…

Una vez que se conocen las MACs de los AP conocer las Macs de los clientes autorizados es tan sencillo como abrir un Sniffer de red como AiroPeek y ver que direcciones se comunican con la MAC del AP. Esas serán las MACs autorizadas. Cuando ya se tiene la lista de las direcciones autorizadas, pues el atacante se configura una MAC válida con alguna de las muchas herramientas que hay para spoofear(suplantar) direcciones y ya se habrá saltado esa protección.

Imagen: Herramienta SMAC spoofeando la dirección MAC de nuestra Wlan con el valor 00-13-02-2E-8B-41 por el valor FA-BA-DA-FE-AF-EA

Conclusión: El filtrado de direcciones MAC no es una buena protección de seguridad, es muy sencillo para un atacante saltarse está protección.

Autenticación y Cifrado


Claves WEP 64 y 128 bits

El estándar 802.11 define un sistema para Autenticación y cifrado de las comunicaciones Wlan que se llama WEP (Wireless Equivalent Privacy).

WEP utiliza una palabra clave que va a ser utilizada para autenticarse en redes WEP cerradas y para cifrar los mensajes de la comunicación.

Para generar la clave, en muchos AP se pide una frase y luego a partir de ella se generan 5 claves distintas para garantizar el máximo azar en la elección de la misma, pero en otros simplemente se pide que se introduzca una con las restricciones de longitud que se configure y listo.

Para el cifrado de cada trama se añadirá una secuencia cambiante de bits, que se llama Vector de Inicialización (IV), para que no se utilice siempre la misma clave de cifrado y descifrado. Así, dos mensajes iguales no generarán el mismo resultado cifrado ya que la clave va cambiando.


Imagen: Configuración WEP con Frase de Paso y generación de claves

Como se puede ver en la imagen, en este caso tenemos un AP que permite generar 5 claves a partir de una Frase o directamente configurara una clave. Cuando tenemos 5 claves, hemos de marcar cual es la que vamos a utilizar porque WEP solo utiliza 1 clave para todo. Como se puede ver hemos seleccionado una opción de clave WEP de 64 bits, de los cuales 5 octetos (40 bits) son la clave y los 24 bits restantes serán el IV. Es decir, en una comunicación normal tendríamos 2 a la 24 claves distintas de cifrado.


Imagen: Configuración WEP de 128 bits

En el caso de WEP de 128 bits tendremos 13 octetos fijos (104 bytes) y 24 bits cambiantes (IV), es decir, tendremos el mismo número de claves pero de mayor longitud.

Proceso de Cifrado y Descifrado

Para entender el proceso de autenticación en redes Wlan con WEP es necesario explicar previamente el proceso de cifrado y descifrado ya que es utilizado durante el proceso de autenticación de un cliente.

El proceso de cifrado es el siguiente:

Paso 1: Se elige el IV (24 bits). El estándar no exige una formula concreta.
Paso 2: Se unen la clave Wep y el IV para generar una secuencia de 64 o 128 bits. Este valor se llama RC4 Keystream.
Paso 3: Se pasa esa secuencia por un algoritmo RC4 para generar un valor cifrado de esa clave en concreto.
Paso 4: Se genera un valor de integridad del mensaje a transmitir (ICV) para comprobar que el mensaje ha sido descifrado correctamente y se añade al final del mensaje.
Paso 5: Se hace un XOR entre el mensaje y el RC4 Keystream generando el mensaje cifrado.
Paso 6: Se añade al mensaje cifrado el IV utilizado para que el destinatario sea capaz de descifrar el mensaje.

El proceso de descifrado es el inverso:

Paso 1: Se lee el IV del mensaje recibido
Paso 2: Se pega el IV a la clave WEP
Paso 3: Se genera el RC4 Keystream
Paso 4: Se hace XOR entre el mensaje cifrado y el RC4 KeyStream y se obtiene el mensaje y el ICV.
Paso 5: Se comprueba el ICV para el mensaje obtenido.

Proceso de Autenticación

A la hora de que un cliente se conecte a una Wlan se debe autenticar. Esta autenticación puede ser abierta, es decir, que no hay ninguna medida de exigencia para que pueda asociarse a la red, o cerrada, por la que se va a producir un proceso de reconocimiento de un cliente válido.

Así, en una autenticación WEP se usa una idea muy sencilla. Si tienes la clave WEP serás capaz de devolverme cifrado lo que te envíe. Así, el cliente pide conectarse y el AP genera una secuencia de 128 octetos que le envía al cliente cifrado. El cilente descifra esa cadena de 128 octetos y se la devuelve en otra trama cifrada con otro IV. Para que la autenticación sea mutua se repite el proceso de forma inversa, es decir, enviando el AP la petición de conexión al cliente y repitiéndose el envío de la cadena de 128 octetos cifrados del cliente al AP.

Seguridad WEP

¿Es seguro utilizar WEP entonces? Pues la verdad es que no. Hace ya años que se demostró que se podía romper y hoy en día romper un WEP es bastante trivial y en cuestión de minutos se consigue averiguar la clave WEP. El atacante solo tiene que capturar suficientes tramas cifradas con el mismo IV; la clave WEP va en todos los mensajes, así qué, si se consiguen suficientes mensajes cifrados con el mismo IV se puede hacer una interpolación matemática y en pocos segundos se consigue averiguar la clave WEP. Para conseguir suficientes mensajes cifrados con el mismo IV el atacante puede simplemente esperar o generar muchos mensajes repetidos mediante una herramienta de inyección de tráfico. Hoy en día, para los atacantes es muy sencillo romper el WEP porque existen herramientas gratuitas suficientemente sencillas como para obviar el proceso que realizan para romper el WEP.

Imagen: Captura de Tramas de con airodump

Pero incluso aquí en España, donde hay un grupo de investigación sobre el tema de seguridad Wireless (http://hwagm.elhacker.net/) se han desarrollado herramientas con GUI para que sean más sencillitas.

Imagen: Winairodump. GUI hecho para generar capturas de tramas Wireless

Una vez que han generado un fichero de capturas suficiente se pasa por el crackeador que va a devolver la clave WEP que está siendo utilizada.

Imagen: Aircrack. Coge el fichero generado por Airdump y devuelve la clave WEP

WLanDecrypter

Una especificación concreta de las redes WEP se ha producido en España. Una compañía de televisión por Internet instala en sus clientes siempre redes Wireless a las que configura, como SSID un valor del tipo: WLAN_XX.

Estas redes utilizan un sistema de claves WEP sencillo que ha sido descubierto. La clave esta compuesta con la primera letra de la marca del router utilizado en mayúsculas (Comtrend, Zyxel, Xavi) y la MAC de la interfaz WAN del router. Además el nombre de la red es WLAN_XX donde XX son los dos últimos dígitos de la dirección MAC de la interfaz WAN. Como cada router tiene una asociación entre el fabricante de la interfaz wireless y de la interfaz WAN, puesto que se hacen en serie y con las mismas piezas, si sabemos la MAC de la interfaz wireless también sabremos los 3 primeros pares de dígitos hexadecimales de la MAC WAN (que corresponden al fabricante).

En definitiva, con una herramienta sencilla y una captura de 1 mensaje de red en pocos segundos se rompe la clave WEP de este tipo de redes. Hasta que las empresas cambien su política.

Imagen: WlanDecrypter, descargable de Rusoblanco

Direccionamiento de Red

Para un atacante, encontrar el direccionamiento de red que tiene que utilizar en una wlan en la que se ha colado es también un paso trivial:

- La red cuenta con servidor DHCP: el equipo del atacante será configurado automáticamente y no tendrá que hacer nada. En el caso de que haya suplantado una dirección MAC de un cliente, el atacante no podrá utilizar esta dirección IP porque ya está siendo utilizada por otro (ya que el servidor DHCP asigna direcciones en función de direcciones MAC), pero le servirá para ver el rango de direccionamiento que puede utilizar y la puerta de enlace.

- La red con cuenta con DHCP: El cliente se conecta con una dirección IP no valida y realiza capturas de la red con un sniffer (Wireshark, Ethereal, AiroPeek, …). En una captura con tráfico verá rápidamente cuales son las direcciones IP que se están utilizando. Para averiguar la puerta de enlace solo tendrá que buscar una comunicación entre un equipo interno con una IP externa. Ese mensaje, obligatoriamente ha sido enviado a la puerta de enlace, luego la MAC destino de ese mensaje será la MAC de la puerta de enlace. Basta utilizar los comandos ARP para averiguar la IP asociada a esa MAC.

802.11i, WPA y WPA2

Visto lo visto, todo el mundo sabía que había que hacer algo con la seguridad en las redes Wireless. La única solución que se planteaba con este panorama consistía en realizar conexiones VPNs desde el cliente que se quiere conectar a una Wlan hasta un servidor en la red para conseguir cifrar las conexiones, es decir, tratar la Wlan como una red insegura, como Internet, y realizar un cifrado y una autenticación por encima con los mecanismos que nos ofrecen los servidores de VPN.

El IEEE 802.11 anunció una nueva versión segura para Wlan que se llamaría 802.11i y cambiaría los protocolos de seguridad de las Wlans. Como el proceso de aprobación de un estándar era largo y el mercado necesitaba una solución rápida, un grupo de empresas, reunidas bajo la organización Wi-Fi Alliance crearon WPA (Wireless Protected Access) como una implementación práctica de lo que sería el próximo estándar 802.11i.

Así que el próximo mes veremos los mecanismos de seguridad en estos entornos y como montar infraestructuras seguras con WPA, con Certificados digitales, con PEAP, etc… Hasta el mes que viene.
***************************************************************************************************
Artículo publicado en PCWorld
- Proteger una red Wireless (I de III)
- Proteger una red Wireless (II de III)
- Proteger una red Wireless (III de III)
***************************************************************************************************

domingo, octubre 29, 2006

Los Pavos de la Codecamp

A todos los que no pudisteis venir me gustaría deciros: ¡Vaya Putada! El ambiente estuvo genial y conocí a cantidad de gente debuti de toda España, más todos los viejos pájaros (Gogoz, Dani Matey, Dani Comino, Chico Maravillas, Carmona, Salgado,…). Fue una oportunidad de pasarlo tope cubata.

El viernes con el TTT, el Sábado con la charla de los cazafantasmas y las aventuras ectoplasmáticas más allá de la hora bruja. Me hicieron meter er deo en la queimada y estuve de vampiro toda la noche. Conocí a los creadores del WLanDecrypter y todos me enseñaron chistes nuevos en agradecimiento por nuestros chistes de pavos. Especialmente “El del pavo”. Os los pongo aquí:

Pregunta: ¿Cuál es el bicho que tiene entre 3 y 4 ojos?
Respuesta: El PI-ojo, que tiene poco más de tres.

Pregunta: ¿Qué le dice una impresora a otra?
Respuesta: ¿Es tuyo este folio o es una impresión mia?

Pregunta: ¿Para que quiere un pastor un compilador?
Respuesta: Para hacer Obejotas.


Y los clásicos de la sacarina, el conde Drácula y “el del pavo”.

En fin, cuidemos la resaca que vamos a Vigo.

miércoles, octubre 25, 2006

To er mundo é güeno

Los que tenéis ya una edad suficiente como para saber que en España hubo un mundial y que España ganó una vez por 12-1 recordaréis también las pinículas del señor Summers en la que se veía como gente güena iba cayendo soportando estoicamente las barrabasadas de un grupo de actores que se grababan con cámara oculta.

Esa percepción de la comunidad hacker global es como decir que todos los españoles somos modelo Alfredo Landa y nos gustan los toros o que todas las americanas son unas frescas y los catalanes unos ratas y los madrileños unos chulos (bueno, esto último me hace dudar sobre todo el post que yo soy de aquí y me conzco :P). Es decir, un tópico.

Dentro de la comunidad hacker los hay de todos los colores White-Hackers, Black-Hackers, Hacktivistas, Blue-hackers, Crackers, Crashers, Phreakers, …. (no os digo que son estos) y luego estamos los capullos integrales como yo, que ni soy hacker ni soy na, pero me gusta tocar los webs.

¿Por qué se atacan los sistemas? Pues por muchas motivaciones distintas, por jugar, por ayudar a la gente, por diversión, por joder, por dinero, por motivaciones políticas, ideológicas, filosóficas, por ser cool, o por lo que cada uno le venga bien.

En la web de Zone-h, una web donde se reportan los atques de defacement e intrusión a servidores web, que yo enseño muchas veces en las conferencias, tenemos una estimación de los ataques que han sido motivados por política en cada grupo.

Zone-H Top Special Attacks

Se puede ver que algunos tiene el 100 % motivados por venganza política, otros un 40 % y otros directamente un 0 %, es decir, que lo hacen por lo que le viene en gana.

Muchos de las intrusiones se utilizan para realizar otros ataques. Así, se hackea un servidor, se introduce un programita php (en la mayoría de los casos) que se utiliza para registrar los datos que son robados con algún troyano, luego ese php se utiliza también para mostrar los datos robados en html, al que el atacante accede mediante una conexiona anonimizada y aquí paz and after glory y sin dejar ningún rastro.

En la web de Zone-h se hace una copia de lo que se ha hackeado, luego, si el hacker se introduce en el servidor para hacer el mal, en zone-h se copian los programas que atacan a los usuarios que visitan el servidor hackeado. Es decir, si vistamos la copia en Zone-h puede que estemos siendo atacados. Una prueba de esto lo podemos ver en el siguiente link, donde Roberto Preatoni, de Zone-h contestó:

“Hello,unfortunately there is nothing we can do as some defacers are linking, from the defaced webpage some external pages against which, our internal server antivirus cannot perform any sanitation.”

Y es que como nos preguntaba Bernardo en el último de los “editoriales” en “una-al-día” ¿se pueden poner puertas al campo?.

Así que recordad, por mucho que diga la pinicula, NO to er mundo é güeno.

martes, octubre 24, 2006

Sevilla

Este post solo es para quedar, nada técnico, así que si tienes curro no lo leas.

Después de la paliza en Valencia de ir y venir en el mismo día, pasamos a Sevilla, mañana miércoles llego en el AVE a las 16:30 a Sevilla, donde espero que alguien me recoja, para ir a visitar unas tiendas de comics (mi vicio) y cumplir con la tradición de buen friki.

Por la tarde sobre las ocho, me voy a reunir con quien le apetezca en algún bar con terrazita para tomar lo que venga. La idea es charlar, tapear y beber, para que no haga falta la cena, y así empalmar con las copas y el dancing in the night hasta que, por ser miércoles, nos echen de todas partes. Tomaré un Stroch (o como se diga con quien quiera). Al día siguiente el evento por la mañana y por la tarde me iré a la universidad a hacer una sesión “de coña”. Se llama “¿Seguro que estás seguro?” y tendrá los chistes habituales y los nuevos. Regreso jueves por la noche a recoger al chico maravillas que aterriza de Londres y viaje al Escorial para la Codecamp. ¿Alguien se apunta? ¿Dónde os parece bien quedar en Sevilla?

En otro orden de cosas, con el reto de Seguridad, veo que sois muy buenos conmigo y que o estáis queriendo “romperlo”. ¿Verdad? Es eso, ¿no? ¿Qué me queréis mucho y no queréis romperlo, no?

No se, no se. El premio es el libro de Michael Howard de “Writing Secure Code” y los gallumbos del maligno. ¿Hay que subir las apuestas?.

Por cierto, me voy a poner en la lista de espera para comprar el dominio coño.es que seguro que es uno de los más demandados desde que se anunció que se podría usar la ñ en los dominios. Jeje.

¡Malignidad para todos!

sábado, octubre 21, 2006

Hackers!

Bueno, bueno, señoritos y señoritas, sigo viéndoos poco afortunados con las pruebas en el reto, amos, amos, amos, que se puede que se puede. Además, ya escribí sobre esto hace ya varios meses con lo cual si habéis venido a algún Training Day o a algún evento de la Gira Práctica de Seguridad para empresas, en esos sitios hice unas demos sobre esto. Otros links del post anterior os tenían que dar algo de info, pero... ya estoy hablando demasiado. A ver Sergios, txipi, Antonio, Ander, los de los clubs .NET, los chicos de elhacker.net, etc... ya se que "no tenéis tiempo" pero espero que sea solo eso, que no tenéis tiempo (es broma tranquis). Voy a utilizar esto como proceso de certificación de hackers (valdrá para algo?, PARA NADA, será un certificado totalmente inútil!) así que como no vale para nada, no se vale hacer trampas, que hay que tener mucho cuidado con las certificaciones.

Por ejemplo, aquí tenemos a IBM y Novell en plan hackers, para ello vamos a echar un ojo al informe que ha encargado Microsoft sobre los roles que se pueden hacer con un Windwos Server 2003/XP con la certificación Common Criteria EAL4+ y un SuSE Linux Enterprise Server Version 9 with certification-sles-ibm-eal4 package con certificación Common Criteria EAL4+.

Para el proceso de certificación se presenta un conjunto de software que debe cumplir una serie de procedimientos de seguridad que deben ser comprobados y el fabricante debe dar unas guías para conseguir fortificar dicho software, así que, cuando se presenta un servidor, no es lo mismo presentar un Windows Server 2003 Enterprise Edition, que una Windows Server 2003 R2 que un Windows Server Web Edition, ¿por qué? pues porque cada versión trae un conjunto de software diferente. Claro, dependiendo de los componentes se pueden hacer una serie de roles de servicio distinto.

Asín, por ejemplo en el SUSE certificado se manda a tomar por culo todo interfaz gráfico, también mandan a tomar por culo el OpenLdap y por tanto el Directorio, de hecho en la guía de fortificación, en el paso 16 dice:

"The OpenLDAP Server MUST be disabled."

Con dos guevos. También, a pesar de usar OpenSSL pueden manejar certificados para tuneles ssl con Stunnel, etc... pero como no hay capacidades de directorio pues viva la fiesta ya dejamos fuera también el rol de entidad certificadora. Así, menos curramos, ¿que podemos quitar también?. El servidor Web, que no veas si da guerra. A LA MIERDA. Por eso no aparece en la lista de paquetes requeridos u opcionales y más tarde dice, muy tranquilamente en la guía:

“Kernel modules other than those provided as part of the evaluated configuration MUST NOT be installed or loaded. You MUST NOT load the tux kernel module (the in-kernel web server is not supported).”

Sigamos, el caso es certificarse, así que, ¿qué hacen con su "cosa server" que están creando? Pues mandan a la playa Samba y dicen:

"Kernel modules other than those provided as part of the evaluated configuration MUST NOT be installed or loaded. … You MUST NOT activate knfsd or export NFS file systems."

¿Qué nos queda por quitar? Ah, el Bind y el DHCP. ¿pa qué un DNS o un DHCP? Ale, ya quitamos también el CUPS y listo, y ya si montamos un servidor de impresión, vale para los linux pero no para los clientes Windows.

En definitiva con un SUSE EAL4+ y un Windows Server 2003/XP EAL4+ se pueden conseguir los siguientes Roles:

SUSE : Print Server
Windows Server Systems: Directory Server, Certificate Server, Web Server, File Server, Print Server, Networking Server


Eh! pero está certificado!! ¿Para que valdría?. Creo que tengo un reloj Casio con calculadora que voy a certificar.

En el ForoSUSE decían:

"SuSE Linux Enterprise Server 9 se ha convertido en la primera distribución Linux en alcanzar la certificación EAL4 en servidores eSeries de IBM. Esta certificación le permitirá competir a Novell a la par con Window$ 2000 en el sector gubernamental. "

La pregunta que me viene a mi maligna y pervertida cabeza es ¿en qué disciplina? ¿En servidor de impresión? ¿Puede competir un campeón olimpico en un olimpiada paralímpica?.

¿Esta certificación garantiza que algo es más seguro que otro? Pues en principio no, como [casi] ninguna, (habría que decírselo a las 17 certificaciones de Oracle) pero lo que sí está claro es que si lo haces hazlo bien y no hagas trampas, perro!

Ah, por cierto, Exchange tb la tiene.

En este link tienes la lista de todos productos que la tienen y los documentos de especificación y los reportes de certificación.

En este otro el documento de estudio. En las páginas 7 a 14 está lo más divertido.

¡Malignidad para todos!

viernes, octubre 20, 2006

Expertos de Seguridad y Experto en Seguridad-Less

Bueno, en primer Lugar dar la enhorabuena al gran David Carmona que ha sido el primero en romper el reto(vaya, uno de los de Microsoft, esto no puede ser), como sé que vendrá a la Codecamp, le haré la entrega del premio (Calzoncillos enmarcados) allí para el regocijo de todos. El reto va a seguir abierto y en febrero haremos una sesión live o Webcast de como y se rompía y porque.

Como la seguridad es importante os dejo enlaces de gente que también está interesada en la seguridad, y especialmetne en este reto.

http://www.ppcv.org/consultanoticias.asp?id=875
http://www.esquerra.cat/aratocano/?seccio=noticies&id_article=4676

http://www.jse.org/web/noticias.asp?IdNoticia=487

http://www.iglesia.org/noticias/ver_noticia.php?num=1

Y ahora quiero quiero hablar de otro experto, el señor Victor Pimentel que en su último artículo sobre IE7 nos deja perlitas del siguiente calibre sobre Internet Explorer:

"este navegador es el más inseguro de todos los existentes"

Para ello ha utilizado la métrica Victor Pimentel que no nos deja muy clara pero sí que esboza.

"Y aunque han salido cientos de parches[...]"

Sí, para IE SP2, es decir la versión del año 2004.

Expedientes de Seguridad IE6 SP2.

En la base de datos de Securityfocus, donde están todas las vulnerabilidas, arregladas o no, reportadas o no por el fabricante y la comunidad, aparecen exactamente CERO cientas Noventa y uno, coño, como el teléfono de la policía que habría que usar para denunciar a ciertos "expertosdeseguridad-less". Claro si hay 0 cientas lo más seguro es que Spectra, que no arregla todas, haya sacado algún parche menos.

"El desarrollo de Internet Explorer ha estado parado casi cinco años, en los que la única funcionalidad nueva que se le introdujo fue el bloqueador de Popups, en la actualización del Service Pack 2 para Windows."

Creo que estabas hablando de IE7, ¿no? pero en fín, si te refieres solo a IE6, creo que lo integró dentro del sistema de gestión de actualizaciones automáticas, a la competencia se le ocurrió un pelín más tarde, las especificaciones de zonas de seguridad, con niveles personalizables. LA INTEGRACIÓN en Políticas de Directorio, que creo que muchos de los otros aún no se gestionan con políticas LDAP,... pero, ya centrandonos en IE7 tenemos el filtro Antiphising, que, después de que IE7 lo tuviera en beta otras compañías de seguridad y otros grandes adalices de la innovación tecnológica en navegación han decidido introduccir.

En el resto de los comentarios que nos regala, existen las manidas frases de miles y miles de veces mejor, la pregunta: En que medida y cuanto de mejor exactamente según que datos?.

Te voy a dar el título, eres un expertodeseguridad-less que tiene una visión completa de cuales son las necesidades de seguridad de una compañía. Y ya que es así, ya sabes, sacame el reto, que no es dificil para un experto como muestra el comentario, y más, cuando uno de Microsoft ha sido capaz (con lo malos que son):

http://www.informatica64.com/retohacking/

El artículo del expertoenseguridad-less

Bies!

miércoles, octubre 18, 2006

Las reglas del Juego

Albacete 6:45

Me he caido de la cama, así son algunos días, te levantas a las 5 y media de la mañana y no sabes por qué, bueno, tal vez sea porque el gran carmona, con el que compartía habitación (es decir, el la paga y yo me acoplo) estaba más cansado que de costumbre después de hacerse Madrid-Malaga-Murcia-Albacete de 7 a 7 currando y de 7 a 1 de... bueno, eso, y no quería despertarle sólo por haberme despertado.

Así que....

Las reglas del juego.

Lo que os propongo aquí es un pequeño reto, sobre técnicas de hacking en aplicaciones web. La idea es sencilla, para entrar en una zona privada se nos pide una contraseña, no hay gestión de usuarios, solo se necesita una contraseña. Esta contraseña podría ser cambiada cada semana y enviada a los que tienen privilegios por mail cifrado o dicha de voz, o como nos de la gana, sólo es un juego.

La zona privada a la que se tiene acceso con la contraseña está ubicada dentro de una página web que tiene más información y que en este caso está representado por todos los elementos que se ven en la web. Cualquier elemento que esté en ese mini-web puede ser utilizado para encontrar la palabrita de paso.

La web está en un servidor aislado detrás de un firewall en Informática64, asín que, cualquier escaneo con scanners de vulnerabilidades o similar provocará que se bloqueen ips. Si la tocada de webs es mayor, entonces cortaré el juego y listo calisto.

Para pasar el reto solo se necesita "la herramienta más poderosa jamás creada" y ... un juguetito que sabréis cual es cuando lleguéis a ese punto, observar, repasar un poco los deberes y pensar. Pensar es la clave para este juego. No es trivial pero ni mucho menos es imposible. No me creería que no lo sacase NADIE.

El juego está montado a partir de varias auditorías de seguridad que hemos realizado, de dos en concreto que me gustó mucho resolver y que las he fusionado en una sola, así que si Rodol y yo pudimos, vosotros también.

Iré regalando cosas a los que lo vayan sacando (gall..., camisetas, etc...) pero si alguien detecto que se lo han chivoteado (y lo hace solo por ganar la camiseta) entonces le daré la camiseta y lo pondré en la lista de "copiotas".

En el supuesto caso de que estemos ENTRE DAMISELAS daré la solución en el 2007, pero vamos, que sería de VERGUENZA sus señoritas BLOGGERAS.

Así que nada, a por ello. La URL es: http://www.informatica64.com/retohacking/

PD: Gracias a Alex que se curró la programación del juego.

lunes, octubre 16, 2006

Empieza la Fiesta!

Este duro fin de semana he estado más tirado que una colilla y el volumen de trabajo que tenía era tanto que me he visto obligado a no hacer nada, lo que ha conllevado que, añadiendo la putada de Dani Pedrosa y la derrota del de siempre, haya sido un finde penoso.

Ahora sin embargo comienza la fiesta, en menos de 1 hora estaré rumbo a Murcia para realizar el evento de la gira de Seguridad Technet en Murcia, bueno realmetne para cenar y salir de fiesta ya que nos vamos a juntar con la gran Ethel (dadle al about y veréis un ponente duro, duro) que se está estrenando como ponenta en el Microsoft University Tour eventos pensados para estudiantes, pero si quieres empezar con .NET te vienen debuti.

En Albacete, tras varios años diciendo que iba y no llendo nunca, he decidido asistir este año y acompañaré a Ethel el día 18, aunque si ella quiere la acompaño ¡Al infinito y más allá!. Así que imaginate, estoy más feliz que un ratón de estos y sin drogas!.

Además, a todos los que gastáis un poco del trabajo de vuestros jefes en leer estas paridas de mi blog, quería daros las gracias porque se que hay blogs mucho más interesantes y que hace mejores demos que las que hacemos nosotros con el messenger en la gira de seguridad.

Para acabar de agradeceroslo voy a plantearos un reto de seguridad, es simplemente un juego que consistirá en entrar en una web con un agujerito, a los primeros (que no hagan trampas, que os conozco...) les voy a regalar unas maligno-camisetas, si os apetece. Y a lo mejor, solo a lo mejor, y para que nadie quiera ganar el primero, regalaré mis batman-gallumbos, que son de felpita y en esta época del año nos va a venir muuu bien. XD. Esta semana estará el reto como yo, es decir, colgao.

PD: Chico "qué" maravilla, tú tb estás muy guapo.
PD2: Gracias por dejarte usurpar unos kas en el server Ander.

Bies!!

miércoles, octubre 11, 2006

La Carne en el Asador

Fue una matanza, los entrantes fueron chistorra, chorizo picado y morcilla, aderezados de 1 cogollito de tudela con una anchoita (por eso de tener una dieta variada y equilibrada), de segundo todo light, el chuletón compartido entre el abuelo y el gran (y no es una ironía) Antonio Ropero, sendos solomillazos degustados por los carnivoros Quintero y Román y un churrasco de más de 30 cm de largo pal menda lerenda.

Cafés, postre para el abuelo y sorbetes para los carnivoros. MMM. Me encantan las reuniones de trabajo. XD. Allí, entre todo el maremagnun de proteinas que habían corrido por el campo hemos hablado de muchas aventuras, muchas anecdotas y hemos intercambiado bastantes aventuras bajo un Non Disclousure Agreement entre "delicuentes" (como digais algo de lo mio....).

Una de las cosas que me había comentado Bernardo Quintero en privado, fue algo así, como: "Vaya, vaya, vaya, mira a quien han hecho MVP de Microsoft". Con su estilo, imparcial, medio serio, medio en coña, que no sabes nunca si te está analizando o si ya te tiene analizado y sólo está decidiendo si te cuenta o no los resultados. Me recuerda mucho al Rodol observador con su codigo en asm y el ceño fruncido.

Microsoft Gives 'Adware' Distributor MVP Status

El caso es que MS había concedido el Award de MVP al creador del Messenger Plus, un programita que es considerado como Adware por algunos antivirus/antispyware. La cosa fue increscendo y yo hice una consultita a mi MVP Lead preguntandole "oye, ¿tienes info sobre esto?". La verdad es que, siendo yo como soy un capuyo integral, no soy el más indicado para preguntar, pero en fin, lo pregunté.

Al mismo tiempo, Christopher Boyd, otro Microsoft MVP de Seguridad, escribió en su blog un post de incertidumbre haciendo referencia a que, sorprendentemente, Messenger Plus es detectado como Adware por el Microsoft Antivirus, para más revoltijo, a través de los serivicios de VirusTotal del señor Quintero & cia.

Christopher Boyd Post

Ale, viva la fiesta!, para acabar de hacer que esto sea un revoltijo se anuncia ahora que Microsoft ha decidido revocar el premio y además que: "it [MS] conducts a rigorous selection process to find the most qualified people to become MVPs, and that it’s committed to maintaining the integrity of the award. There are about 2,600 MVPs worldwide."

Microsoft Revokes 'Adware' Distributor's MVP Status

Y todo estoy mientras como con Bernardo Quintero a quien se le quiso nominar (como los oscars o el gran hermano) para ser MVP de Seguridad antes que a mi (por su trabajo con Virustotal y Una-al-día), pero que él declinó que se hiciera para manterner su independencia.

¿Seré yo el siguiente? Qué no se diga de mi, que yo estaba poniendo toda "La Carne en el Asador". ;)

martes, octubre 10, 2006

¿Qué te cuentas?

Durante este verano hemos estado dandole muchas vueltas al tema de Voz sobre IP, mirando todas las posibilidades para atacar a un sistema mal configurado de VoiP, o lo que es lo mismo, como se debe configurar bien para que no hay problemas.

Algunos vectores de ataque se han visto ya en Internet, como el caso de Edwin Pena, que se metió en varios intermediarios de operadores de VoIP y revendía los minutos de servicio a menor precio.

O el caso del VoIPhreaking, que robando el Caller-ID, permite inyectar a los atacantes mensajes de Voz mientras el usuario está en espera en la centralita y pedirle que llame a otro sítio, que marque un número de cuenta,....

Echandole ganas, y si el sistema no está cifrado, con programas como Cain, Oreka, Vomit o Voipong, se puede grabar la conversación en ficheros wav o mp3. Otra opción utilizada es sniffar las tramas y con los plug-ins de Ethereal recomponer la conversación en ficheros .au para reproducirlo. Para capturar los mensajes grabados en Messenger (con el F2) tuvimos que programar un juguete que capturase las tramas y montase después en un fichero el mensaje. (Cuando digo tuvimos, me refiero a que yo se lo pedí y Rodol me lo programó ;) ).

Pero... ¿y si está cifrada la conversación? Pues en principio nada de nada, para ello tendrías que capturar todas las tramas y después buscar la forma de averigurar la clave de cifrado para ver que se contaban al oido los de la comunicación. Google Talk usa Jabber, protocolo libre basado en XML y que tiene la posibilidad de usas GPG (GNU Privacy Guard) aunque aún no tenemos claro, si lo usa en comunicaciones normales o no, y sobre todo, si todos los clientes Jabber tienen este soporte.

Asi que, mirando, mirando, vimos que había una solución para grabar todo, y es esperar a que salga del altavoz del equipo. Cierto, ¿no?. Para eso, un amiguete me paso una herramienta muy chula que se llama Voice Emotion (¡gracias Abraham!) que es lo más grande. Se instala en la máquina victima, graba las conversaciones VoIP y te las envía a un servidor controlado. ¡Genial! Solo nos falta ocultarlo, así nada, a usar algún rootkit que además no sea detectable, así que mejor que se tenga el código fuente, para recompilarlo cambiandole parámetros, usar algún cifrador de código y listo.

Peeeeeeeeeeero, como siempre, hay quien le da otras utilidades a este sistema y salta hoy a la luz que una compañía de seguridad en Suiza está haciendo justo, justo, justo, un troyano que hace esto para los cuerpos de seguridad.

Superintendent Trojan

Amos que... siempre que sea para coger a los malos y no para pillar a los golfos...

Ah, si quieres ver las demos sobre estas cosas quedan aún varias ciudades.

No seais malos.

lunes, octubre 09, 2006

Nos vamos de Fiesta

Y no sabemos de que vamos a hacer el capuyo. El caso es que el señor Varela, que es el que está programando en Google y que tiene un turbio pasado disfrazandose conmigo se va a venir ex-profeso a hacer una sesión conmigo en la próxima Codecamp o mejor dicho, yo voy a hacer todo lo posible por dar una sesión con él que viene a la Codecamp. No sabemos de que cohones vamos a hablar pero lo que es seguro es que vamos a hacer el subnormal a lo grande.

¡Y ya que hablamos de google, por favor, decidle a la gente que usa gmail que no publique su correo por RSS que luego todo se sabe!

No hay muchos, pero se ven en el preview, probao.

Y ... ¿dónde estaba yo? ah sí!, la Codecamp. Serán los próximos días 27, 28 y 29 de Octubre, sí, en finde, para 200 personas y hay que quedarse a embo...dormir y nada de drogas, que nos conocemos y es en el Escorial, así que a pasar un frio de Cohones, así que si puedes ir acompañado y calentito, mejol que mejol.

Os dejo el link de registro:

Codecamp

Y ya que he hablado de bug en google, este si que es gordísimo, además creo que lo veremos en la codecamp

Bug en Google

bai,bai!

domingo, octubre 08, 2006

Puta SGAE Hackeada !!!

Ese es el título de lo que rula por Internet. Es cierto, cierto, tan cierto como que Raúl no es el culpable de que España pierda y tan cierto como que Alonso tiene el mundial a tiro de neumático.

La base de datos de SDAE (del grupo SGAE) circula por Internet desde hace poco tiempo. Es un ficherito html que se ha sacado vía alguna aplicación web no construida correctamente y que tiene el bonito mensaje de cabecera:

"Acá les attacho la base de datos de la Sociedad Digital de Autores y Editores (SDAE), del grupo puta SGAE. Para hacer uso de los usuarios y contraseñas vos tendrás que entrar en www.portallatino.com e ir a la zona de Socios. Dentro vos podrás modificar los datos personales de los registrados y sus webs, por ejemplo subiéndoles las caricutaras de Mahoma. También podrás hacer uso para spam. Desde esa zona pueden rootear el servidor. Pueden llamarles a sus celulares por ejemplo, imaginación !!!! A los socios solo hacerles la recomendación de denunciar esta falla de seguridad ante la Agencia de Protección de Datos de España"

En ese fichero, se encuentran una base de datos con más de 6.000 registros con los siguientes datos de la gente que está suscrita:

FVUID, USERNAME, FVPASSWORD, FVNOMBRE, FVAPEL1, FVAPEL2, EMAIL, NINTENTOERR, FPASSWORD, FLOCKDATE, CAMBIAPWD, SEXO, ESUSUARIOFRONT, EMPRESA, SECTOR, DOMICILIO, CIUDAD, CODPROVINCIA, CP, TELEFONO, FAX, DNI, CODCAE, TELEFONOMOVIL, FNACIMIENTO, PROFESION, CALLE, NUMERO, PISO, POBLACION, PAIS, WEBCONPLATINO, SERVICIOADICIONAL, ITV, ITVMOTIVO, IRADIO, IRADIOMOTIVO, VISORES, PUBLICIDADCULTURAL, PRODUCTOSCOMPRAID, HORARIOCONEXIONID, LUGARCONEXIONID, TIPOCONEXIONID, GUSTOADICIONAL, TIENEWEBMAIL, NACIONALIDAD, TIPOUSUARIO, COMPRASINET, TRACKING, ES_INTERNO, PROVINCIA, WEBPAGE, CUENTAACTIVA ,FREGISTRO

Se localiza por los canales más habituales de compartición de ficheros en formato html y veo que ya se han hecho eco por ahí de esto.

Publican en Internet una base de datos de socios de la SGAE

De flipar!. De verdad que siempre digo que la seguridad en la web en este país está mal, pero ya es hora de que por favor las empresas empiecen a pensar que si los "mantas" de Microsoft tienen fallos en el sw, a lo mejor, sólo a lo mejor, deberían preocuparse de que sus programadores puedan cometer alguno, aunque sea chiquitititito.

¿Y ahora? Normalmente se pide que se cambien las contraseñas, pero... ¿le decimos a todos los que han quedado con sus datos expuestos (domicilio personal, números de teléfono fijos y movil, etc...) que se cambien todo eso? Estaría dabuti para reactivar el mercado. Creo que a lo mejor, alguno de los que se ve afectado puede sentirse un poco enfadadillo y poner una demandilla. No debería haber problema ya que la si se cumple la LSSI y la LOPD tendrán todo bien documentado y se podrá saber todo lo que ha pasado, ¿no?. A ver si vamos a andar exigiendo que los demás cumplan y luego.....

Puede que haya sido un SQL Injection sencillo, pero... tiene gracia!!

Y a otros que también les atizan y bien:

Hackers Chinos Atacan el Departamento de Comercio Americano

**********************UPDATED****************************

No he podido resistirme con este video. Gracias Virgilio.

*********************************************************
jeje

viernes, octubre 06, 2006

Bocas

Así me quedo, me quedo totalmente bocas, como se dice por mis lares. Además de significar ser un bocazas significa quedarse boquiabierto. Y así estoy, que no dejo de flipar con el rollo de las licencias y las patentes.

Resulta que en Debian no consideraban la licencia del logo de Firefox lo suficientemente libre. Y es que el logo no es software y tiene su propia "protección legal". Así que los de debian deciden poner otro logo pero con el nombre de Firefox.

Los de Firefox les dicen que cuando haces top ya no hay stop, así que si ponen el nombre tienen que poner el logo y si no, que ya pueden ir pensando en un bautizo.

Así que nada, la gente de Debian, a cambiarle el nombre, pero, puestos a ponernos finos, tengamos las cositas claras. Podéis cambiar el logo y el nombre, pero los parches que se aprueben por Mozilla. A lo que el otro le responde que sí, que vale, que bueno, que siempre ha sido así y que lo han hecho correctamente siempre.

Más sobre esto

Al final, para la nueva versión de Debian se llamará, aún no lo sepo, pero el debate sobre el nombre ha sido muyyy divertido. Yo propongo llamarle Rommel, el zorro del desierto (XD)

Pero esto no acaba aquí, y mi sorpresa no es solo por el logo del zorrito o zorrita, sino por algo que me ha dejado más flipao.

Resulta que en la gira estamos promoviendo que la gente cifre sus comunicaciones, para ello damos una sesión de PKI con Certificate Services donde, entre otras cosas, enseñamos el DNI digital, los certificados que lleva, etc... Este DNI, desde el primer día que se puso en marcha cuenta con aplicaciones para ser utilizado en la administración pública. Pues bien, resulta que una empresa dice y así lo publica, tener la patente para lectores de tarjetas inteligentes para el Pago por y Firma. Flipo, y tiene patentado el uso de los lectores de smartcards, de flipar, de flipar.

http://www.kalysis.com/

Entre otras cosas tambien tiene Blind SQL Injection y un Apache de cuando Gerónimo corría por las llanuras pero eso es...otra historia.

Y eso!

jueves, octubre 05, 2006

Al Sprint

No, este blog no está cerrado ni he dejado de responder al correo, es que no he tenido ni un minuto, el último post lo hice desde Zamudio y este lo estoy escribiendo desde Valladolid mientras Cervi canta los algoritmos de cifrado de los griegos y de César. Apasionante!.

No he podido ni tan siquiera pensar sobre que gaitas iba a escribir pq como ya sabéis yo funciono por impulsos y ahora mismo lo único que quiero es coger al masajista mañana y que me arregle el pinzamiento que me ha dejado la espalda hecha polvo.

Para los que vengáis a los eventos que quedan, contaros que hemos hecho "trampas" y hemos dejado para el final la parte de hacking messenger y VoIP ya que de lo contrario quedaba un poco rara la agenda.

Así que, solo para que no penséis que me olvido de escribir aquí os paso el video del nuevo tipo de troyanos para atacar organismos oficiales. No so paso la versión ejecutable pero os dejo un vídeo que os muestra como funciona y como montaros el vuestro propio.

Nuevo tipo de malware.

Malignidad

martes, octubre 03, 2006

Una noche en la Opera

Los hermanos Marx marcaron una época de mi vida, supongo que, como en aquella época sólo había dos canales marcarían la misma época para todos y os chupasteis todos Sopa de Ganso, Un día en las carreras, un día en el circo, Los hermanos Marx en el Oeste y sobre todo la de una noche en la Opera con la escena del camarote repleto de gente.

Esta escena me recuerda al tema de los navegadores web. En este caso mi ordenador es el camarote en el que están entrado cada vez más navegadores, pero no hay problema, al fondo hay sitio. Hoy en día tenemos un blog en castellano dedicada por completo a los navegadores y montones y montones de textos dedicados a nuestros queridos amigos.

Minimo, Opera Mini, Camino, Firefox, Flock, Internet Explorer, K-Meleon, Netscape, Opera, Safari, Konkeror, Swift, Shiira, Maxthon, WorldWideWeb,...

Recnozco que no he probado la mayoría de ellos, y que soy de idéas fijas y tras ser convencido para pasar del Netscape Navegator 4 al iE4 no volví a cambiar aunque me tientan.

Cuando aparece una nueva vulnerabilidad en un navegador parece que se desatan los perros de la guerra para conseguir nuevos adeptos para otro navegador. ¡Es la Guerra!

Uno de los más avezados guerreros de las browser wars es mi amigo "pájaro" Sergio. Escribe en Hispasec y está en la primera línea de batalla. Así, cuando escribe sobre las noticias de seguridad en los navegadores se le ve el lado del bien.

Algunos ejemplos: http://www.hispasec.com/unaaldia/2893

"Microsoft por su parte no termina de recomendar la aplicación de parches de terceros."

Ni lo hará, pq oferta soporte y nunca va a dar soporte a sw de otros, luego "no termina" no es la expresión correcta. La correcta es: "No empieza"

"...es posible que Microsoft tenga que replantearse la eficacia de su ciclo actual de actualizaciones o, con el fin de agilizar su publicación, bajar el listón de "calidad" al que aspiran"

Pues el sistema es bueno, es tan bueno que cuando hay un nivel de riesgo alto (y aquí entramos en la apreciación personal pq en este pais todos somos entrenadores y expertos de F1) se lo saltan y si hay que reducir el tiempo, lo que se debe hacer es
invertir más recursos en garantizar el mismo nivel de calidad en menos tiempo, no bajar la calidad. Para ello, los equipos de seguridad de Microsoft realizan medidas de contención de la amenaza, como localizar las amenazas e intentar bloquearlas. Cuando hay una amenaza como la del VML, desde MS, recibimos un bonito fichero que nos indica las ips que están atacando a los clientes y el proceso que están llevando. Microsoft localiza los servidores e intenta eliminar las amenazas. Un ejemplo sería esta sección del úlitmo fichero que recibí con el VML:

URL's Related to exploit discussed in Microsoft Security Advisory 925568
Note: Microsoft does not warrant that these URL's continue to host malicious content or the status of these sites. Microsoft partners should validate using their own processes and use this information according to your own procedures and guidelines.

URL Site Status Take down Status
h*p:// 198.88.20.73/fr/31.htm Inactive Site Down
h*p:// 198.88.20.73/fr/31.htm Inactive Site Down
h*p:// 198.88.20.73/fr/31.htm Inactive Site Down
h*p:// 198.88.20.73/fr/31.htm Inactive Site Down
h*p:// 198.88.20.73/fr/31.htm Active Requested
h*p:// 198.88.20.73/fr/31.htm Active Requested
h*p:// 198.88.20.73/fr/31.htm Inactive
h*p:// 83.149.75.51/track/o.html Active
h*p:// autosurf440.com Active
h*p:// dodgenitro.com/ss.exe Inactive Site Down


Con esta información, los responsables de seguridad de las empresas peuden utilizar los mecanismos de seguridad perimetral para impedir que sean atacados sus clientes.

Otra opción es cambiar de navegador con cada nueva amenaza, ayer IE, hoy Firefox y ¿mañana?

El domingo por la noche apareció una nueva vulnerabilidad crítica de Firefox y esperaba las contramedidas de mi amigo "pájaro" Sergio. La respuesta, leyendo entre lineas es.... ¿cuál?

Y es que con Firefox hemos tenido hasta tratamiento de marketing publicitario: "Mozilla es un entorno de código abierto multiplataforma, de gran calidad, nacido a partir de una iniciativa de Netscape. Firefox es el navegador web del proyecto Mozilla, un producto de popularidad creciente, con más de 170 millones de descargas. Thunderbird es el cliente de correo y RSS." Y esto dentro de la noticia en la que nos avisaba de aparición de actualizaciones de seguridad (parches).

http://www.hispasec.com/unaaldia/2785
y es que si hay uno que no le gusta nada es el IE. En una noticia nos comentaba el enfado de Microsoft pq un investigador de seguridad había mostrado un exploit de día 0 de IE con el siguiente cierre de noticia: "Un episodio más de la eterna disputa
entre la filosofía del "ocultismo" y la total revelación de detalles de seguridad."

http://www.hispasec.com/unaaldia/2862

¿Ocultismo? No,no, como en Firefox, prudencia con sus clientes.

Así cuando comentamos el enfado de Firefox por lo mismo, no tiene nada que ver el "ocultismo"

http://www.hispasec.com/unaaldia/2900

Pájaro!!

Pero es que al MS Office tb le tienes "cariño", pero este post queda muy largo.

Me quedo, para los navegadores, y en las empresas, unas recomendaciones genéricas de Hispasec que suelen poner en muchas noticias y me encantan

"No podemos dejar de remarcar la importancia de mantener los sistemas parcheados de forma adecuada, no sólo como protección puntual contra este tipo de amenazas, sino como algo que debe formar parte de las buenas prácticas de seguridad en cualquier
entorno corporativo o casero. Los creadores de malware aprovechan la desidia de los administradores y usuarios a la hora de aplicar esta regla para infectar decenas de miles de ordenadores con sus creaciones.

Es muy importante también aplicar una política de defensa en profundidad a la hora de utilizar tecnologías antivirus en entornos corporativos. La planificación y aplicación de políticas y procedimientos sólidos y coherentes con cada entorno particular es uno de los puntos importantes que destacamos durante nuestras actividades de auditoría y consultoría en este campo. Es recomendable, por ejemplo, el uso de al menos dos soluciones antivirus de casas diferentes para complementar las capacidades de ambas y así minimizar en lo posible el riesgo de una infección dentro de las redes.

Para luchar contra esta amenaza en concreto, también existen firmas de SNORT que detectarían la presencia de la amenaza en entornos infectados. Hay ya unas escritas y disponibles para su uso, y que pueden ser encontradas en el enlace que incluimos
al pie de este una-al-día"

Bueno, ahora me toca pagar a mi la cena. Nos vemos Sergio!

lunes, octubre 02, 2006

Licencia para Matar

Me encanta James Bond, recientemente me han regalado (sin ánimo de lucro, no vaya a ser....) una "copia de seguridad" (yo sigo cubriendomene las espaldas) de todas las pinículas, incluidas los dos Casinos Royales de la époco pre-TCP/IP, y estoy muy concuenco.

En ellas siempre es el mismo formato, James Bond besando chicas, malo que hace el capuyo, Bond jode al malo tras bonitas persecuciones y/o peleas, James Bond se liga a la chica del malo, (besitos y achuchones), al malo que le cae la del pulpo, James Bond acaba con chica dandole más besitos y achuchones. Además, a parte de haber una misma estructura existe una cosa clara. James Bond tiene Licencia para Matar.

En el mundo de la informática esto de las licencias es un carajal total.

Yo no me suelo aprender ninguna y no es una batalla que me interese, pero sí que me encanta este tipo. Linus Benedict Torvalds. Desde el principio es un tipo de esos que te magnetizan. No por el trabajo que ha hecho (que es impresionante) sino por su caracter. 100 % técnico no se muerde la lengua a la hora de decir las cosas.

En el año 1992 con el mismisimo Andrew Tanenbaum tuvo una peta sonadisisma. En ella Andrew pronostica que Linux está Obsoleto pq el futuro de los sistemas operativos serán microkernels y no kernels monolíticos como Linux. 10 años después parece ser que, los kernels monolíticos siguen muy activos. En ella Linus B. Torvalds le dice al mismisimo A. Tanenbaum: "Sorry, but you loose". En ella reconoce que la coordinación de los proyectos, como le plantea Tanenbaum será un problema y durante un tiempo el kernel deberá seguir llevándolo él. El Thread (echale tiempo).

Hablando de seguridad, en Mayo de este año hablaba sobre el problema de que el kernel de linux estuviera "slowly getting buggier" reconociendo que "the worry is certainly real", dejando atras supercherías y demagogias.

Con Richard Stallman no fue una relación de amor desde el principio, de hecho, Linux no fue GPL en las primeras versiones y Linus estaba más cercano a lo que sería luego la Open Source Definition, aunque en una entrevista en el año 1997,en la que habla largo y tendido, diciendo de Microsoft (NT 4) que es mejor haciendo dinero que software, entre otras muchas cosas, reconoce que hacer Linux GPL fue lo mejor que hizo.

Ahora, tras la publicación del draft de la GPLv3 por parte de la Free Software Foundation, varios desarrolladores del kernel se han posicionado "en contra". Tras ello, la FSF ha hecho algunas aclaraciones a lo que considera han sido malexplicaciones.

Linus Torvalds en un entrevista hace na y menos ha dicho estas "perlitas"

"But I'm so fed up with the FSF right now that I'm not in the least interested. There's no way in _hell_ they can claim that they don't know my standpoint, so what are they even asking for?"

[bronxtolita]
Amos, que me tiene tan hasta la punta de la p*%$% que me la suda un cacho la FSF y la concha de su abuela. Y encima los mu **%$*** diran que no saben lo que yo opino? Amos que...
[/bronxtolita]

Leete la interview completa, que el señor Benedict no se corta un cacho.

Y me abro.... y no de patas!